AWS Key Management Service 中的数据保护 - AWS Key Management Service
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。

AWS Key Management Service 中的数据保护

AWS Key Management Service 存储和保护您的加密密钥,使其能够高度可用,同时为您提供强大灵活的访问控制。

数据加密

数据 AWS KMS 包括 客户主密钥 (CMKS)和其代表的加密密钥材料。此关键材料仅存在于 AWS KMS 硬件安全模块(HSMS)以及仅在使用时。否则,密钥材料经过加密并存储在耐久的永久存储中。

关键材料 AWS KMS 为CMKS生成的产品从未离开 AWS KMS HSMS未加密。它不会在任何 AWS KMS API操作。

静态加密

AWS KMS 为FIPS140-2级别2中的客户主密钥(CMK)生成关键材料–兼容硬件安全模块(HSMS)。在不使用时,密钥材料由HSM加密,并写入耐久永久存储。CMKS的关键材料和保护关键材料的加密密钥永远不会以纯文本形式离开HSM。

对CMKS关键材料的加密和管理完全由 AWS KMS.

有关详细信息,请参阅 AWS Key Management Service 加密详情白皮书.

传输中加密

关键材料 AWS KMS 为CMKS生成的从未导出或传输的 AWS KMS API操作。 AWS KMS 使用 关键标识符 代表API操作中的CMK。同样地, AWS KMS 定制主要商店 不可拆卸,并且从未在 AWS KMS 或 AWS CloudHSM API操作。

但是,有些 AWS KMS API操作返回 数据键. 而且,客户可以使用API操作到 导入关键材料 对于选定CMKS。

全部 AWS KMS API呼叫必须签名并使用传输层安全性(TLS)1.2或更高版本传输。呼叫 AWS KMS 还需要一套支持 完美远期保密这意味着,任何秘密的泄漏(如私钥)也不会影响会话密钥。

沟通之间 AWS KMS 服务主机和HSMS在经过验证的加密方案中使用椭圆曲线密码(ECC)和高级加密标准(AES)保护。有关详细信息,请参阅 AWS Key Management Service 加密详情白皮书.

密钥管理

AWS KMS 不直接存储客户数据。相反, AWS KMS 负责存储和保护客户主密钥(CMK),这是由加密密钥材料支持的逻辑实体。

关键材料 AWS KMS CMKS由FIPS140-2级别2的分布式队列支持–经验证的硬件安全模块(HSMS)。每个 AWS KMS HSM是一款独立的加密硬件设备,旨在提供专用的密码功能,以满足 AWS KMS.

仅在HSMS内部以及在密钥材料生成或使用密钥材料时,CMKS的关键材料存在于纯文本中。

在不使用时,密钥材料在HSMS上被加密,加密的密钥材料被写入耐用、低延迟的永久存储。保护密钥材料的加密密钥永远不会以纯文本形式离开HSM。任何人都没有机制,包括 AWS 服务操作员,在原始文本中导出或查看密钥材料或HSM加密密钥。

定制主要商店,可选 AWS KMS 功能,让您创建由中生成的关键材料的CMC AWS CloudHSM 您控制的硬件安全模块。这些HSMS通过认证 FIPS140-2级别3.

另一个可选功能让您 导入关键材料 对于CMK。从其来源运输到 AWS KMS,导入的关键材料必须使用生成的RSA密钥对 AWS KMS HSMS。导入的关键材料在 AWS KMS HSM中对称密钥下的HSM并重新加密。这些操作在导入的关键材料存储在以下主要材料之前执行 AWS KMS. 导入后,导入的关键材料绝不会离开HSMS加密。提供关键材料的客户负责安全地使用、耐用和维护关键材料 AWS KMS.

有关CMKS和关键材料管理的详细信息,请参阅 AWS Key Management Service 加密详情白皮书

互联网络流量隐私

AWS KMS 支持 AWS 管理控制台 以及使您能够创建和管理客户主密钥(CMK)的一组API操作,并在加密操作中使用。

AWS KMS 支持从专用网络到AWS的两个网络连接选项。

  • Internet的IpsecVPN连接

  • AWS Direct Connect,将内部网络链接到 AWS Direct Connect 标准以太网光缆的位置。

为确保隐私 AWS KMS API呼叫必须签名并通过传输层安全协议(TLS)1.2或更高版本传输。该电话还需要一套现代化的加密套件 完美远期保密. 只允许从已知的CMK存储关键材料的硬件安全模块(HSM)流量 AWS KMS API主机 AWS 内部网络。

直接连接到 AWS KMS 从您的虚拟私有云(VPC)中不发送公共互联网流量,使用VPC端点, AWS PrivateLink. 有关更多信息,请参阅 通过 VPC 终端节点连接到 AWS KMS。)

AWS KMS 还支持 混合后Quantum密钥交换 传输层安全(TLS)网络加密协议选项。连接到KMSAPI端点时,您可以使用TLS的此选项。